KR20110113565A - Secure access to a private network through a public wireless network - Google Patents
Secure access to a private network through a public wireless network Download PDFInfo
- Publication number
- KR20110113565A KR20110113565A KR1020110029302A KR20110029302A KR20110113565A KR 20110113565 A KR20110113565 A KR 20110113565A KR 1020110029302 A KR1020110029302 A KR 1020110029302A KR 20110029302 A KR20110029302 A KR 20110029302A KR 20110113565 A KR20110113565 A KR 20110113565A
- Authority
- KR
- South Korea
- Prior art keywords
- network
- client device
- private
- public
- computer
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
Abstract
클라이언트 디바이스가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는 시스템, 방법, 및 컴퓨터 프로그램 제품이 개시된다. 상기 시스템은 상기 클라이언트 디바이스와 상기 공중 무선 네트워크의 게이트웨이 사이에 제1 네트워크 터널을 수립하고, 그런 다음, 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증한다. 상기 인증은 상기 공중 네트워크의 인증 서버에 의해 프록시된다. 상기 인증이 성공적인 경우, 상기 상기 클라이언트 디바이스에 의해 상기 사설 네트워크로의 보안적 접근을 위해 상기 클라이언트 디바이스와 상기 사설 네트워크의 게이트 사이에 제2 터널이 수립된다.Systems, methods, and computer program products are disclosed in which a client device securely accesses a private network via a public wireless network. The system establishes a first network tunnel between the client device and a gateway of the public wireless network, and then authenticates the client device with an authentication server of the private network using the first tunnel. The authentication is proxied by an authentication server of the public network. If the authentication is successful, a second tunnel is established between the client device and the gate of the private network for secure access by the client device to the private network.
Description
본 발명은 일반적으로는 컴퓨터 네트워크와 관련되고, 더 구체적으로는, 공중 또는 제3의 무선 네트워크를 통한 기업 사설 네트워크(enterprise private network)로의 보안 접근 방법 및 시스템과 관련된다.The present invention generally relates to computer networks, and more specifically to methods and systems for secure access to enterprise private networks over public or third party wireless networks.
통신 네트워크는 사설(private) 네트워크 또는 공중(public) 네트워크 중 어느 하나일 수 있다. 사설 네트워크에서, 다수의 컴퓨터들 사이의 커뮤니케이션은 적절한 인증 없이도 그 네트워크 바깥으로부터의 접근을 방지하는 보안 환경에서 일어난다. 이들 네트워크들은 "신뢰되는(trusted)" 네트워크들로 간주된다. 왜냐하면 상기 커뮤니케이션 신호들은 외부 환경에 노출됨이 없이 그 사설 네트워크 내에서 하나의 컴퓨터에서 다른 컴퓨터로 보안적으로(securely) 이동하기 때문이다.The communication network may be either a private network or a public network. In a private network, communication between multiple computers occurs in a secure environment that prevents access from outside the network without proper authentication. These networks are considered "trusted" networks. This is because the communication signals travel securely from one computer to another within the private network without being exposed to the external environment.
한편, 인터넷과 같은 공중 네트워크는 안전하지 않다(not secure). 왜냐하면 이들 네트워크들을 통한 커뮤니케이션은 비공개적(private)이지 않고 다른 컴퓨터들에 의한 인터셉션이 빈번히 발생한다. 또한, 상기 공중 네트워크는 송신된 데이터 패킷들의 전달을 보장할 수 있다. 상기 공중 네트워크는 전송시 패킷들이 무분별하게 그 네트워크 내로 주입되도록 하거나, 그 네트워크로부터 빠져나가도록 할 수 있고, 또한 분석될 수 있다. 공중 네트워크를 통해 송신된 데이터를 비공개적으로 유지하기 위해, 두 개의 컴퓨터들이 공중 네트워크를 사용하여 서로 통신하는 경우 흔히 가상 사설 네트워크(Virtual Private Network, VPN)이 그 공중 네트워크의 맨 위에 수립된다. VPN에서, 하나의 컴퓨터에서 다른 컴퓨터로 송신된 데이터는 보안 게이트웨이(security gateway)에 의해 암호화(encrypt)되고, 암호화된 형태로 그 공중 네트워크를 통해 수신 컴퓨터에 연결된 제2의 보안 게이트웨이로 전송된다. 상기 제2 게이트웨이는 그것을 상기 수신 컴퓨터로 전달하기 전에 상기 데이터를 복호화(decrypt)한다. 다른 네트워크의 맨 위에 수립된 이러한 개인 채널(private channel)은 네트워크 터널(network tunnel)로 일컬어진다.On the other hand, public networks such as the Internet are not secure. Because communication over these networks is not private, interception by other computers occurs frequently. The public network may also ensure delivery of transmitted data packets. The public network may allow packets to be injected into or out of the network indiscriminately during transmission and may also be analyzed. In order to keep data transmitted over a public network private, a virtual private network (VPN) is often established on top of that public network when two computers communicate with each other using a public network. In a VPN, data sent from one computer to another is encrypted by a security gateway and sent in encrypted form to a second secure gateway connected to the receiving computer via its public network. The second gateway decrypts the data before delivering it to the receiving computer. This private channel established on top of another network is called a network tunnel.
VPN을 셋업하기 위해, 유저(user)는 먼저 VPN 서버로의 경로를 수립하고 신원확인(identification) 및 허가(authorization)를 위해 AAA 프로세스(인증(authentication), 허가(authorization), 어카운팅(accounting))을 통과하여 그 서버와 보안 터널(secure tunnel)을 생성한다. 일단 상기 유저가 허가받으면, IPsec와 같은 VPN 프로토콜을 사용하여, 상기 공중 네트워크를 통해 상기 유저와 상기 VPN 서버 사이에 보안 네트워크 터널이 수립된다. 이 프로세스는 적절한 유저 환경설정들(configurations) 뿐만 아니라, 상기 유저 측에 VPN 클라이언트를 요구하고 상기 터널의 다른 측에 VPN 서버 및 다른 VPN 하드웨어를 요구한다.To set up a VPN, the user first establishes a route to the VPN server and then AAA processes (authentication, authorization, accounting) for identification and authorization. Pass through to create a secure tunnel with that server. Once the user is authorized, a secure network tunnel is established between the user and the VPN server over the public network using a VPN protocol such as IPsec. This process requires a VPN client on the user side as well as appropriate user configurations, and a VPN server and other VPN hardware on the other side of the tunnel.
오늘날의 사설 네트워크는 모바일 접근을 수용하기 위해 종종 WiMAX와 같은 무선 네트워크를 포함한다. 또한, 큰 지리적 범위 내에서 모빌리티 접근(mobility access)을 제공하기 위해, 사설 기업(private enterprise)은 종종 자신의 무선 네트워크 이외에 제3의 무선 인프라구조에 의존한다. 이 경우, 유저의 디바이스는 상기 기업 네트워크에 접근할 수 있기 전에 제3의 게이트웨이 및 기업 인증 서버에 의해 인증될 필요가 있다. 유저 크리덴셜(user credentials)은 전형적으로 상기 제3의 게이트웨이에 의해 요구되고 보안적으로 상기 제3의 게이트웨이로 리턴된다. 일단 상기 유저가 인증 및 허가를 받으면, 상기 유저는 상기 제3의 무선 게이트웨이와 통신할 수 있다.Today's private networks often include wireless networks such as WiMAX to accommodate mobile access. In addition, to provide mobility access within a large geographic area, private enterprises often rely on a third wireless infrastructure in addition to their wireless network. In this case, the user's device needs to be authenticated by a third gateway and an enterprise authentication server before being able to access the enterprise network. User credentials are typically required by the third gateway and returned securely to the third gateway. Once the user is authenticated and authorized, the user can communicate with the third wireless gateway.
그러나, 공중 네트워크를 통과할 경우 상기 기업의 사설 네트워크에 접근하기 위해서, 상기 유저는 상기 유저의 디바이스와 기업 VPN 서버 사이의 보안 연결을 여전히 필요로 한다. 결국, 제3의 무선 캐리어 네트워크를 포함하는 환경에서, 유저는 사설 기업 네트워크에 접근하기 위해서 공중 게이트웨이와 기업의 인증 서버 모두에 의해 인증 및 허가를 받아야만 한다.However, in order to access the corporate private network when traversing the public network, the user still needs a secure connection between the user's device and the corporate VPN server. As a result, in an environment including a third wireless carrier network, a user must be authenticated and authorized by both the public gateway and the corporate authentication server in order to access the private corporate network.
따라서, 당해 기술 분야에서는 전술한 단점들이 없이 공중 또는 제3의 무선 네트워크를 통해 사설 네트워크와 보안적으로 통신하는 향상된 시스템 및 방법이 여전히 필요하게 된다.Thus, there remains a need in the art for improved systems and methods for securely communicating with private networks over public or third party wireless networks without the aforementioned disadvantages.
본 발명은 공중 또는 제3의 캐리어 무선 네트워크를 통해 기업의 사설 네트워크에 보안적으로 접근하는 컴퓨터 네트워크 시스템, 방법 및 컴퓨터 프로그램 제품과 관련된다. 상기 네트워크 시스템은 클라이언트 디바이스가 상기 공중 네트워크의 인증 서버(authentication server)에 의해 인증받는 경우 상기 클라이언트 디바이스와 게이트웨이 사이에 제1 네트워크 터널을 수립하기 위한 공중 게이트웨이를 포함한다. 그런 다음, 상기 인증 서버는 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버에 대해 상기 클라이언트 디바이스를 인증하기 위한 프록시로서 작용한다. 상기 클라이언트가 상기 사설 네트워크의 인증 서버에 대해 성공적으로 인증되면, 보안 클라이언트 접근을 허용하기 위해 상기 클라이언트 디바이스와 상기 사설 네트워크 사이에 제2 네트워크 터널이 수립된다.The present invention relates to a computer network system, a method and a computer program product for securely accessing a private network of an enterprise via a public or third carrier wireless network. The network system includes a public gateway for establishing a first network tunnel between the client device and a gateway when the client device is authenticated by an authentication server of the public network. The authentication server then acts as a proxy for authenticating the client device to the authentication server of the private network using the first tunnel. If the client is successfully authenticated to the authentication server of the private network, a second network tunnel is established between the client device and the private network to allow secure client access.
본 발명의 실시예들에서, 상기 네트워크 터널들은 확장가능 인증 프로토콜-전송층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS)와 같은 챌린지-응답 인증 프로토콜(challenge-response authentication protocol)을 사용하여 수립된다. 상기 인증은 클라이언트 유저의 보안 크리덴셜들 및 공중-개인 암호화 키 쌍들(public-private encryption key pairs) 상에서의 상기 클라이언트와 상기 서버 사이의 교환을 포함한다. 상기 사설 인증 서버와 함께 상기 클라이언트 디바이스의 인증과 연관된 데이터 패킷들은 암호화되고 상기 공중 게이트웨이에 의해 상기 사설 인증 서버로 변하지 않은 상태로(unchanged) 전달된다. 본 발명의 실시예들에서 공중 무선 네트워크는 WiMAX 무선 네트워크이다.In embodiments of the present invention, the network tunnels may be challenged using a challenge-response authentication protocol such as Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). Is established. The authentication includes an exchange between the client and the server on client users' security credentials and public-private encryption key pairs. Data packets associated with the authentication of the client device with the private authentication server are encrypted and forwarded unchanged by the public gateway to the private authentication server. In embodiments of the invention the public wireless network is a WiMAX wireless network.
본 발명의 또 다른 실시예에서, 클라이언트가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는(securely access) 방법이 기술된다. 이 방법은 상기 사설 네트워크에 연결된 공중 무선 네트워크의 게이트웨이에 대해 제1 터널을 수립하는 단계, 및 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하는 단계 - 여기서, 상기 인증 서버는 상기 사설 네트워크의 게이트웨이에 연결됨 - 를 포함한다. 상기 인증이 성공적이면, 상기 사설 네트워크에 대한 보안 접근(secure access)이 가능하도록 상기 클라이언트와 상기 사설 게이트웨이 사이에 제2 터널이 수립된다.In another embodiment of the present invention, a method is described in which a client securely accesses a private network via a public wireless network. The method includes establishing a first tunnel to a gateway of a public wireless network connected to the private network, and authenticating the client device with an authentication server of the private network using the first tunnel, wherein the authentication A server connected to a gateway of the private network. If the authentication is successful, a second tunnel is established between the client and the private gateway to enable secure access to the private network.
본 발명의 또 다른 실시예에서, 클라이언트 디바이스가 공중 무선 네트워크를 통해 사설 네트워크에 보안적으로 접근하는 컴퓨터 프로그램 제품이 기술된다. 이 제품은 컴퓨터 사용가능 스토리지 매체를 포함하는데, 이 컴퓨터 사용가능 스토리지 매체는 내부에 구현된 판독가능 프로그램 코드를 갖는다. 상기 프로그램 코드는 상기 사설 네트워크에 연결된 공중 무선 네트워크의 게이트웨이에 대한 제1 터널을 수립하고, 상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하고, 상기 사설 네트워크에 대한 보안적 클라이언트 접근이 가능하도록 상기 클라이언트 디바이스와 상기 사설 네트워크 게이트웨이 사이에 제2 터널을 수립한다.In another embodiment of the present invention, a computer program product is described in which a client device securely accesses a private network via a public wireless network. The product includes a computer usable storage medium, which has readable program code embodied therein. The program code establishes a first tunnel to a gateway of a public wireless network connected to the private network, authenticates the client device with an authentication server of the private network using the first tunnel, and secures the private network. A second tunnel is established between the client device and the private network gateway to enable enemy client access.
본 발명의 바람직한 실시예들에 관한 상세한 내용들, 즉 본 발명의 바람직한 실시예들의 구조 및 동작에 관하여는, 첨부된 도면들을 참조하여 이하의 상세한 설명 부분에서 자세히 기술되는데, 첨부된 도면들에서 유사한 참조 부호들은 유사한 부분들을 일컫는다. 본 발명에 관한 상기 과제 해결 수단은 본 발명의 주제의 중요 특징들을 확인시키려는 의도로 제공된 것이지, 본 발명의 주제의 범위를 한정하려는 의도로 사용된 것은 아니다.Details of the preferred embodiments of the present invention, namely the structure and operation of the preferred embodiments of the present invention, are described in detail in the following detailed description with reference to the accompanying drawings, in which like reference numerals are used. Reference numerals refer to similar parts. The above-mentioned means for solving the problems is provided to identify important features of the subject matter of the present invention, and is not intended to limit the scope of the subject matter of the present invention.
도 1은 인터넷을 통해 두 개의 네트워크들 사이에 수립되는 전형적인 보안 네트워크 터널을 도시하는 블록도이다.
도 2는 보안 네트워크 터널을 통해 전송을 위해 캡슐화된(encapsulated) 데이터 패킷의 일 예를 보여주는 블록도이다.
도 3은 VPN 서버 및 보안 방화벽들을 사용하여 클라이언트 디바이스들이 공중 무선 네트워크를 통해 사설 네트워크에 접근할 수 있도록 하는 네트워크 구성을 보여주는 블록도이다.
도 4는 본 발명의 측면들에 따라, 클라이언트 인증이 공중 인증 서버에 의해 프록시되는 공중 무선 네트워크를 통해 클라이언트 디바이스들이 사설 네트워크에 접근할 수 있도록 하는 네트워크 기술(netwtork arrangement)의 일 예를 보여주는 블록도이다.
도 5는 본 발명의 실시예들에 따라, 사설 네트워크에게 보안 클라이언트 접근을 제공하기 위해, 클라이언트 디바이스, 게이트웨이 및 무선 공중 네트워크의 인증 서버, 그리고 게이트웨이 및 사설 네트워크의 인증 서버 사이의 인터랙션들을 도시한다.
도 6은 본 발명의 측면들에 따라, 클라이언트 디바이스가 인증되고, 공중 무선 네트워크를 통해 사설 네트워크에 대한 보안 네트워크 터널을 수립하는 프로세스의 일 예의 흐름도이다.
도 7은 본 발명의 측면들에 따라, 제1 보안 네트워크 터널을 수립하기 위해 공중 무선 네트워크의 인증 서버 및 게이트웨이에 의해 클라이언트 디바이스가 인증되는 프로세스의 일 예의 흐름도이다.
도 8은 본 발명의 측면들에 따라, 제2 보안 네트워크 터널을 수립하기 위해 사설 네트워크의 인증 서버 및 게이트웨이에 의해 클라이언트 디바이스가 인증되는 프로세스의 예의 흐름도이다.1 is a block diagram illustrating an exemplary secure network tunnel established between two networks via the Internet.
2 is a block diagram illustrating an example of an encapsulated data packet for transmission over a secure network tunnel.
3 is a block diagram illustrating a network configuration that allows client devices to access a private network through a public wireless network using a VPN server and security firewalls.
4 is a block diagram illustrating an example of a network arrangement that allows client devices to access a private network over a public wireless network where client authentication is proxied by a public authentication server, in accordance with aspects of the present invention. to be.
5 illustrates interactions between a client device, an authentication server in a gateway and a wireless public network, and an authentication server in a gateway and a private network, to provide secure client access to a private network, in accordance with embodiments of the present invention.
6 is a flowchart of an example of a process for a client device to authenticate and establish a secure network tunnel to a private network over a public wireless network, in accordance with aspects of the present invention.
7 is a flowchart of an example of a process in which a client device is authenticated by an authentication server and gateway in a public wireless network to establish a first secure network tunnel, in accordance with aspects of the present invention.
8 is a flowchart of an example of a process in which a client device is authenticated by an authentication server and a gateway of a private network to establish a second secure network tunnel, in accordance with aspects of the present invention.
당해 기술 분야에서 숙련된 자라면 알 수 있는 바와 같이, 본 발명의 측면들은 방법, 시스템 또는 컴퓨터 프로그램 제품으로 구현될 수 있다. 따라서, 본 발명의 측면들은 전적으로 하드웨어 실시예의 형태를 취할 수도 있고, 전적으로 소프트웨어 실시예(펌웨어, 상주 소프트웨어, 마이크로-코드 등을 포함함)의 형태를 취할 수도 있고, 또는 소프트웨어와 하드웨어 측면들 - 이것들 모두는 일반적으로, 본 명세서 내에서는 "회로", "모듈" 또는 "시스템"으로 일컬어질 수 있음 - 을 결합시킨 실시예의 형태를 취할 수도 있다. 더 나아가, 본 발명의 측면들은 하나 또는 그 이상의 컴퓨터 판독가능 매체(들) - 상기 하나 또는 그 이상의 컴퓨터 판독가능 매체(들)은 그 내부에 구현된 컴퓨터 판독가능 프로그램 코드를 가짐 - 에 구현된 컴퓨터 프로그램 제품의 형태를 취할 수도 있다.As will be appreciated by those skilled in the art, aspects of the present invention may be embodied as a method, system or computer program product. Thus, aspects of the invention may take the form of entirely hardware embodiments, may take the form of entirely software embodiments (including firmware, resident software, micro-code, etc.), or software and hardware aspects—these All may generally take the form of embodiments incorporating "circuits", "modules" or "systems" within the present specification. Furthermore, aspects of the present invention provide a computer implemented in one or more computer readable medium (s), wherein the one or more computer readable medium (s) have computer readable program code implemented therein. It may take the form of a program product.
하나 또는 그 이상의 컴퓨터 판독가능 매체(들)의 어떤 조합이든지 이용될 수 있다. 상기 컴퓨터 판독가능 매체는 컴퓨터 판독가능 신호 매체 또는 컴퓨터 판독가능 스토리지 매체일 수 있다. 컴퓨터 판독가능 스토리지 매체는, 예를 들어, 전기, 자기, 광학, 전자기, 적외선, 또는 반도체 시스템, 장치, 또는 디바이스, 또는 이것들의 적절한 조합일 수 있다. 그러나, 이러한 예들로 한정되는 것은 아니다. 상기 컴퓨터 판독가능 스토리지 매체의 더 구체적인 예들(총 망라한 것은 아님)은 다음과 같은 것들을 포함할 수 있다. 즉, 하나 또는 그 이상의 와이어들을 갖는 전기적 연결, 휴대용 컴퓨터 디스켓, 하드 디스크, RAM(random access memory), ROM(read-only memory), 소거가능 프로그램형 읽기-전용 메모리(erasable programmable read-only memory, EPROM 또는 플래쉬 메모리), 광섬유, 휴대용 컴팩트 디스크 읽기-전용 메모리(CD-ROM), 광 스토리지 디바이스, 자기 스토리지 디바이스, 또는 이것들의 적절한 조합이 그 예들이다. 본 문서의 맥락에서, 컴퓨터 판독가능 스토리지 매체는 명령 실행 시스템, 장치, 또는 디바이스에 의해 사용하기 위한, 또는 명령 실행 시스템, 장치, 또는 디바이스와 함께 사용하기 위한 프로그램을 포함, 또는 저장할 수 있는 실체적인 매체일 수 있다.Any combination of one or more computer readable medium (s) may be used. The computer readable medium may be a computer readable signal medium or a computer readable storage medium. The computer readable storage medium may be, for example, an electrical, magnetic, optical, electromagnetic, infrared, or semiconductor system, apparatus, or device, or a suitable combination thereof. However, it is not limited to these examples. More specific examples (but not all) of the computer readable storage medium may include the following. That is, an electrical connection with one or more wires, a portable computer diskette, a hard disk, random access memory (RAM), read-only memory (ROM), erasable programmable read-only memory, EPROM or flash memory), optical fiber, portable compact disc read-only memory (CD-ROM), optical storage device, magnetic storage device, or a suitable combination thereof. In the context of this document, a computer readable storage medium may be embodied as a physical substance that can include or store a program for use by, or for use with, an instruction execution system, apparatus, or device. It may be a medium.
컴퓨터 판독가능 신호 매체는 컴퓨터 판독가능 프로그램 코드를 갖는(예를 들어, 기저대역에서 또는 반송파의 일부로서) 전파되는 데이터 신호를 포함할 수 있다. 이러한 전파되는 신호는, 예를 들어, 전기-자기, 광학, 또는 이것들의 적절한 조합을 포함하는 여러 형태들 중 어떤 것이든지 취할 수 있다. 그러나, 이러한 예들로 한정되는 것은 아니다. 컴퓨터 판독가능 신호 매체는 컴퓨터 판독가능 스토리지 매체가 아닌 컴퓨터 판독가능 매체 - 이는 명령 실행 시스템, 장치, 또는 디바이스에 의해 사용하기 위한, 또는 명령 실행 시스템, 장치, 또는 디바이스와 함께 사용하기 위한 프로그램을 전달, 전파, 전송할 수 있음 - 일 수 있다.The computer readable signal medium may comprise a data signal propagating with the computer readable program code (eg, at baseband or as part of a carrier wave). This propagating signal can take any of a number of forms, including, for example, electro-magnetic, optical, or a suitable combination thereof. However, it is not limited to these examples. The computer readable signal medium is not a computer readable storage medium, which carries a program for use by or in conjunction with an instruction execution system, apparatus, or device. Can propagate, transmit.
컴퓨터 판독가능 매체 상에 구현되는 프로그램 코드는 적절한 매체를 사용하여 전송될 수 있다. 예를 들어, 무선, 유선, 광섬유 케이블, RF 등, 또는 이것들의 적절한 조합이 그것이나, 이러한 것들로 한정되는 것은 아니다.Program code embodied on a computer readable medium may be transmitted using any suitable medium. For example, a wireless, wired, fiber optic cable, RF, or the like, or a suitable combination thereof, is not limited thereto.
본 발명의 측면들을 위한 동작들을 수행하기 위한 컴퓨터 프로그램 코드는 하나 또는 그 이상의 프로그래밍 언어의 조합으로 작성될 수 있다. 이 프로그래밍 언어의 예들에는, 자바, 스몰토크, C++ 등과 같은 객체 지향 프로그래밍 언어, "C" 프로그래밍 언어 또는 유사 프로그래밍 언어들과 같은 전통적인 절차 프로그래밍 언어들 등이 포함되나, 이러한 예들로 한정되는 것은 아니다. 상기 프로그램 코드는, 독립형 소프트웨어 패키지로서, 유저의 컴퓨터 상에서 전적으로, 유저의 컴퓨터 상에서 부분적으로 실행될 수도 있고, 또는 유저의 컴퓨터 상에서 부분적으로 그리고 원격 컴퓨터 상에서 부분적으로, 또는 원격 컴퓨터 또는 서버 상에서 전적으로 실행될 수도 있다. 후자의 경우, 상기 원격 컴퓨터는 어떤 유형의 네트워크를 통해서든 연결될 수 있는데, 이 네트워크의 예들에는 LAN(local area network), WAN(wide area network)이 있다. 또는 상기 연결은 외부 컴퓨터에 대해 이뤄질 수 있다(예를 들어, 인터넷 서비스 공급자를 사용하여 인터넷을 통해).Computer program code for performing operations for aspects of the present invention may be written in a combination of one or more programming languages. Examples of this programming language include, but are not limited to, object-oriented programming languages such as Java, Smalltalk, C ++, traditional procedural programming languages such as "C" programming language, or similar programming languages. The program code, as a standalone software package, may be executed entirely on the user's computer, partially on the user's computer, or partially on the user's computer and partially on the remote computer, or entirely on the remote computer or server. . In the latter case, the remote computer can be connected via any type of network, examples of which include a local area network (LAN) and a wide area network (WAN). Alternatively, the connection can be made to an external computer (eg, via the internet using an internet service provider).
본 발명의 측면들은 본 발명의 실시예들에 따른 방법들, 장치들(시스템들) 및 컴퓨터 프로그램 제품들에 관한 흐름도들 및/또는 블록도들을 참조하여 이하에서 기술된다. 흐름도들 및/또는 블록도들의 각각의 블록, 및 흐름도들 및/또는 블록도들 내의 블록들의 조합은 컴퓨터 프로그램 명령들에 의해 실행될 수 있음을 이해해야 할 것이다. 이들 컴퓨터 프로그램 명령들은 범용 컴퓨터, 전용 컴퓨터, 또는 기타 프로그램가능 데이터 처리 장치의 프로세서로 제공되어 머쉰을 생성해 내도록 할 수 있다. 그리하여, 상기 머쉰이 상기 컴퓨터 또는 기타 프로그램가능 데이터 처리 장치의 프로세서를 통해 실행되는 경우, 흐름도 및/또는 블록도의 블록 또는 블록들에 명시된 기능들/작용들을 구현하는 수단을 생성하도록 한다.Aspects of the present invention are described below with reference to flowcharts and / or block diagrams related to methods, apparatuses (systems) and computer program products according to embodiments of the present invention. It should be understood that each block of the flowcharts and / or block diagrams, and the combination of blocks in the flowcharts and / or block diagrams, may be executed by computer program instructions. These computer program instructions may be provided to a processor of a general purpose computer, dedicated computer, or other programmable data processing device to generate a machine. Thus, when the machine is executed through a processor of the computer or other programmable data processing apparatus, it is possible to create means for implementing the functions / acts specified in the block or blocks in the flowchart and / or block diagram.
이들 컴퓨터 프로그램 명령들은 컴퓨터 판독가능 매체에 또한 저장될 수 있다. 상기 컴퓨터 판독가능 매체는 컴퓨터, 기타 프로그램가능 데이터 처리 장치, 또는 기타 디바이스들이 특정 방식으로 기능하여, 상기 컴퓨터 판독가능 매체에 저장된 명령들이 흐름도 및/또는 블록 다이어그램의 블록 또는 블록들에 명시된 기능/작용을 실행하는 명령들을 포함하는 제조 물품을 생성해 내도록 한다.These computer program instructions may also be stored on a computer readable medium. The computer readable medium may be embodied by a computer, other programmable data processing apparatus, or other devices in a particular manner such that the instructions stored on the computer readable medium may be specified in a block or blocks of a flowchart and / or block diagram. Create an article of manufacture comprising instructions to execute.
상기 컴퓨터 프로그램 명령들은 또한 컴퓨터, 기타 프로그램가능 데이터 처리 장치, 또는 기타 디바이스들 상에 로드되어, 일련의 동작 단계들이 상기 컴퓨터, 기타 프로그램가능 장치 또는 기타 디바이스들 상에서 수행되도록 하여 컴퓨터로 구현되는 프로세스를 생성해 내도록 한다. 그리하여 상기 명령들이 상기 컴퓨터 또는 기타 프로그램가능 장치 상에서 실행되는 경우 흐름도 및/또는 블록도의 블록 또는 블록들에 명시된 기능들/작용들을 구현하는 프로세스들을 제공하도록 한다.The computer program instructions may also be loaded on a computer, other programmable data processing apparatus, or other devices such that a series of operating steps are performed on the computer, other programmable device, or other devices to implement a computer-implemented process. Create it. Thus, when the instructions are executed on the computer or other programmable device, it provides a process for implementing the functions / acts specified in the block or blocks in the flowchart and / or block diagram.
이하에서 기술되는 도면들 내의 흐름도 및 블록도들은 본 발명의 여러 가지 실시예들에 따른 시스템들, 방법들 및 컴퓨터 프로그램 제품들의 아키텍쳐, 기능, 및 가능한 구현들의 동작을 도시한다. 이 점에서, 흐름도 또는 블록도들 내의 각각의 블록은 모듈, 세그먼트, 또는 코드부를 표현할 수 있는데, 이는 명시된 논리적 기능(들)을 구현하기 위한 하나 또는 그 이상의 실행가능한 명령들을 포함한다. 또한, 일부 다른 구현 예들에서는, 블록에 나타낸 기능들은 도면들에 나타낸 순서를 벗어나서 일어날 수도 있음을 주목해야 한다. 예를 들어, 연속해서 보여지는 두 개의 블록들은, 사실상, 실제로 동시에 실행될 수도 있고, 또는 그 블록들은 관련된 기능에 의존하여 때로는 역순으로 실행될 수도 있다. 또한 블록도들 및/또는 흐름도들의 각각의 블록, 및 블록도들 및/또는 흐름도 내의 블록들의 조합들은 전용 하드웨어 기반 시스템들에 의해 구현될 수 있는데, 이 전용 하드웨어 기반 시스템들은 전용 하드웨어 및 컴퓨터 명령들의 특정 기능들 또는 작용들, 또는 조합들을 수행한다.Flow diagrams and block diagrams in the drawings described below illustrate the architecture, functionality, and operation of possible implementations of systems, methods, and computer program products in accordance with various embodiments of the present invention. In this regard, each block in the flowchart or block diagram may represent a module, segment, or code portion, which includes one or more executable instructions for implementing the specified logical function (s). It should also be noted that in some other implementations, the functions depicted in the block may occur out of the order noted in the figures. For example, two blocks shown in succession may in fact be executed concurrently, or the blocks may sometimes be executed in the reverse order, depending on the functionality involved. In addition, each block of the block diagrams and / or flowcharts, and combinations of blocks in the block diagrams and / or flowcharts, may be implemented by dedicated hardware-based systems, which may be implemented by dedicated hardware and computer instructions. Perform certain functions or actions, or combinations.
본 발명은 기업의 사설 네트워크의 보안적이고 원격인 클라이언트 접근과 관련되는데, 여기서 상기 사설 네트워크에 대한 상기 클라이언트 인증은 공중 또는 제3의 무선 네트워크에 의해 프록시된다. 더 구체적으로는, 상기 사설 네트워크에 대한 상기 클라이언트 인증은 상기 공중 또는 제3의 무선 네트워크 상에서 수립된 보안 네트워크 터널을 통하여 공중 인증 서버에 의해 수행된다. 비록 본 발명의 실시예들은 공중 또는 제3의 무선 네트워크들로 한정되는 것은 아니나, 이것들은 상기 클라이언트를 인증하기 위해 많은 무선 네트워크들, 특히, WiMAX 네트워크들에 사용되는 아키텍쳐를 레버리지한다. 상기 인증(Authentication), 허가(Authorization) 및 어카운팅(Accounting)(AAA) 프로세스와 상기 기업의 사설 게이트웨이에 대한 상기 보안 터널의 관리 모두는 상기 공중 인증 서버 및 상기 공중 네트워크에서의 게이트웨이에 의해 프록시된다.The present invention relates to secure and remote client access of an enterprise's private network, where the client authentication to the private network is proxied by a public or third party wireless network. More specifically, the client authentication to the private network is performed by a public authentication server via a secure network tunnel established on the public or third wireless network. Although embodiments of the present invention are not limited to public or third party wireless networks, they leverage the architecture used in many wireless networks, especially WiMAX networks, for authenticating the client. Both the Authentication, Authorization, and Accounting (AAA) processes and management of the secure tunnel to the private gateway of the enterprise are proxied by the public authentication server and gateway in the public network.
보안 원격 무선 접근은 VPN 서버, VPN 클라이언트 또는 VPN 하드웨어를 필요로 함이 없이 수행된다. 이는 설비를 절약하고 기업에게는 비용을 지원하며 유저에게는 매끄러운 연결을 제공한다. 기업의 무선 네트워크와 공중 네트워크들 사이의 로밍은 VPN 클라이언트를 시작하는 것과 같은 어떤 유저의 개입없이 자동적으로 일어난다. 감소된 인프라구조 뿐만 아니라, 기업은 VPN 서버의 유지 및 관리와 연관된 비용을 없앨 수 있다.Secure remote wireless access is performed without the need for a VPN server, VPN client, or VPN hardware. This saves equipment, supports the cost to the enterprise, and provides the user a seamless connection. Roaming between corporate wireless and public networks occurs automatically without any user intervention, such as starting a VPN client. In addition to the reduced infrastructure, companies can eliminate the costs associated with maintaining and managing VPN servers.
이제 도 1을 참조하여 설명하도록 한다. 도 1은 공중 인터넷(114)을 통해 수립된 전형적인 가상 사설 네트워크(100)를 도시한다. 가상 사설 네트워크(100)는 신뢰할 수 있는 네트워크(110 및 119) 사이의 보안 네트워크 터널(115)을 포함한다. 신뢰할 수 있는 네트워크(100)는 네트워크(112)에 의해 서로 연결된 다수의 컴퓨터들(111)을 포함한다. 신뢰할 수 있는 네트워크(119)는 네트워크(118)에 의해 서로 연결된 다수의 컴퓨터들(117)을 포함한다. 네트워크들(112 및 118)은 전형적으로 LAN(예를 들어, 이더넷 네트워크들)이고, 이는 각기 보안 게이트웨이들(113 및 116)을 통해 공중 인터넷에 연결된다.This will now be described with reference to FIG. 1. 1 illustrates a typical virtual
두 개의 네트워크들(110 및 119) 사이의 네트워크 터널(115)은 언더라잉(underlying) 인터넷(114)의 맨 위(top)에 수립된다. 터널(115)을 통한 데이터 이동은 인터넷(114)의 트래픽에게는 보이지 않고 인터넷(114)의 트래픽으로부터 캡슐화된다. 터널(115) 내의 트래픽은 통과될 또 다른 트래픽 스트림과 같이 인터넷(114)에 대해 보인다. 또한, 두 개의 네트워크들(110 및 119) 사이의 패이로드(payload)를 지니는 데이터 패킷들은, 추가 패킷 식별 및 보안 정보로, 인터넷 프로토콜의 패킷들 내에 캡슐화된다.A
도 2는 터널(115)과 같은 IPsec 기반 VPN을 통해 전송된 데이터 패킷들의 일 예이다. 데이터 패킷(210)은 호스트(111 또는 117)로부터 네트워크 내의 다른 컴퓨터들로 전송된 것일 수 있다. 데이터 패킷(210)은 IP 헤더(211) 및 데이터 필드(212)를 포함한다. IP 헤더(211)는 전형적으로 데이터 유형, 패킷 넘버, 전송되는 패킷들의 총 수, 및 전송자 및 수신자의 IP 주소들을 포함한다. IP 헤더(211) 및 데이터 필드(212)의 내용들을 상기 전송자 및 수신자에 대해 비공개적인(private) 상태로 유지하기 위해, 더 큰 데이터 패킷(213)이 인터넷을 통해 전송될 때 이 더 큰 데이터 패킷(213)에 이들 필드들이 포함된다.2 is an example of data packets transmitted over an IPsec-based VPN such as
데이터 패킷((213)은 새로운 IP 헤더(214) 및 캡슐화 보안 페이로드(Encapsulating Security Payload, ESP) 헤더(215)를 포함한다. 새로운 IP 헤더(214) 및 ESP 헤더(215)는 외부 IP 헤더(Outer IP header)(216)로 일컬어진다. 오리지널 IP 헤더(211) 및 데이터 필드(218)는 패킷(213)의 내부 IP 헤더(Inner IP header)(219)로 일컬어진다. 추가 보안 보호를 위해, 내부 IP 헤더(219) 및 오리지널 데이터 필드(212)는 일반적으로 전송 전에 전송 노드(sending node)에 의해 암호화되고, 그런 다음 수신 노드(receiving node)에 의해 복호화된다.The
도 3은 캐리어 무선 네트워크를 통한 사설 인트라넷 및 VPN 서버를 이용하는 인터넷에 모바일 유저들 및 클라이언트 디바이스들이 접근할 수 있도록 하는 네트워크 구성의 일 예를 보여준다. 캐리어 네트워크(314)와 같은 무선 네트워크는 공중으로(over the air) 데이터를 전송한다. 상기 전송된 데이터는 RF(radio-frequency) 신호의 범위 내에 있는 누군가에 의해 수신될 수 있다. 클라이언트 디바이스(310)는 통합된 802.1X 무선을 갖는 휴대용 컴퓨터 또는 통신 디바이스일 수 있고 데이터 암호화 및 클라이언트 인증을 지원할 수 있다. 클라이언트 디바이스(310)는 무선 안테나(311)를 통해 공중 무선 네트워크(314) 또는 캐리어의 게이트웨이(312)와 통신한다. 캐리어 또는 공중 무선 네트워크(314)는 WiMAX 무선 네트워크일 수 있다. 클라이언트 디바이스(310)는 클라이언트 디바이스(310)가 먼저 게이트웨이(312)에 연결될 경우, 전형적으로 공중 네트워크(314)의 인증(AAA) 서버(313)에 의해 인증 및 허가될 필요가 있다.3 shows an example of a network configuration that allows mobile users and client devices to access the Internet using a private intranet and VPN server over a carrier wireless network. A wireless network, such as carrier network 314, transmits data over the air. The transmitted data can be received by someone within the range of a radio-frequency (RF) signal.
공중 또는 캐리어 네트워크(314)를 통해 전송된 데이터를 허가 받지 않은 유저들로부터 보호하기 위해, 대부분의 무선 기술들(WiMAX를 포함하여)은 유저들을 인증하고 최종 유저 디바이스들과 사설 네트워크 사이에서 데이터를 교환하기 위해 보안 터널들을 채용한다. 상기 터널들은, 게이트웨이(312)와 같이, 무선 네트워크 또는 공통 게이트웨이의 접근점(access point) - 모든 접근점들은 이것과 통신함 - 에서 종료된다. WiMAX 및 기타 무선 네트워크들은 일반적으로 유저들을 인증하기 위해 확장가능 인증 프로토콜(Extensible Authentication Protocol, EAP)과 같은 챌린지-응답 프로토콜(challenge-response protocol)을 사용한다. 최종 유저 크리덴셜들이 요청되고, 유저가 공중 무선 네트워크(314)를 사용하도록 허가받았는지를 검증하는 무선 게이트웨이(312)로 보안적으로 리턴된다. 유저를 인증하는 한 가지 방법은 인증 서버(313), 예를 들어, RADIUS 서버 또는 DIAMETER 서버로 클라이언트 크리덴셜들을 전달하는 것이다. 일단 상기 유저가 인증 및 허가받으면, 공중 무선 네트워크(314)를 통해 보안적으로 데이터가 교환될 수 있도록 유저 디바이스(310)에서 무선 네트워크(314) 또는 게이트웨이(312)로 보안 터널이 수립된다.To protect data transmitted over public or carrier network 314 from unauthorized users, most wireless technologies (including WiMAX) authenticate users and transfer data between end user devices and a private network. Adopt secure tunnels to exchange. The tunnels, like
만약 무선 네트워크(314)가 기업 내에 있다면, 클라이언트 디바이스(310)는 기업의 사설 네트워크(316)에 접근을 시작할 수 있다. 그러나, 이는 자주 있는 경우는 아니고, 흔히 무선 네트워크(314)는 전형적으로 인터넷(315)에 대한 접근을 제공하는 제3의 캐리어에 의해 운영된다. 기업의 사설 네트워크(316)는 또한 더 넓은 원격 접근 범위를 허용하도록 인터넷(315)에 연결된다. 그 결과, 상기 기업은 전형적으로 VPN 서버(317)를 갖는데, 이 VPN 서버(317)는 인터넷(315)으로부터 접근가능하고, 유저의 클라이언트 디바이스(310)가 그것이 기업 네트워크(316)에 접근할 수 있기 전에 VPN 서버(317)에 의해 인증 및 허가될 것을 요구한다. 만약 클라이언트 디바이스(310)가 인증 및 허가받는다면, 이 때 상기 최종 유저의 클라이언트 디바이스(310)로부터 기업의 VPN 서버(317)로, 또 다른 보안 터널이 수립된다.If the wireless network 314 is in the enterprise, the
또한 도 3에는 온-캠퍼스 무선 네트워크(on-campus wireless network)를 통해 기업의 사설 네트워크(316)에 접근하는 기업의 전제(premise) 상에 유저의 클라이언트 디바이스(320)가 있다. 상기 온-캠퍼스 무선 네트워크는 무선 안테나(319)를 포함하는데, 이 무선 안테나(319)를 통해 클라이언트 디바이스(320)는 무선 게이트웨이(321)에 연결된다. 무선 게이트웨이(321)는 기업 인증 서버(322) 및 기업 사설 네트워크(316)에 연결된다. 기업 인증 서버(322)는 그것이 기업의 온-캠퍼스 무선 네트워크에 먼저 접근할 때 클라이언트 디바이스(320)의 인증 및 허가를 처리한다. 도 3의 네트워크 구성은 매크로 네트워크(예를 들어, 네트워크(314)))를 한 캐리어 무선 서비스들과 피코 셀 네트워크(pico cell network)를 통한 사설 캠퍼스/건물 내 연결 모두를 전달할 수 있는 능력에 의해 WiMAX의 세기들 중 하나를 보여준다.Also shown in FIG. 3 is a user's
도 4는 본 발명의 실시예들에 따라, 캐리어 또는 공중 무선 네트워크(예를 들어, WiMAX)를 통해 기업의 사설 네트워크에 대한 클라이언트 접근을 가능하게 하는 네트워크 구성을 보여준다. 클라이언트 디바이스(410)는 무선 안테나(411)를 통해 캐리어 또는 공중 무선 네트워크(414)의 게이트웨이(412)와 통신한다. 클라이언트 디바이스(410)는 클라이언트 디바이스(410)가 먼저 공중 게이트웨이(412)에 연결될 때 공중 네트워크(414)의 인증 서버(413)에 의해 인증 및 허가받는다.4 shows a network configuration that enables client access to an enterprise's private network via a carrier or public wireless network (eg, WiMAX), in accordance with embodiments of the present invention. The
클라이언트 디바이스(410)와 공중 게이트웨이(412) 사이에 네트워크 터널이 수립되면, 공중 인증 서버(413)는 기업 사설 네트워크(416)로의 접근을 위해 클라이언트 디바이스(410)가 인증 및 허가받을 수 있도록 프록시로서 작용한다. 상기 프록시된 클라이언트 인증은 도 5-8을 참조하여 이하에서 상세히 기술된다. 일 예로서, 기업 사설 인트라넷(416)은 인터넷(415) 및 사설 인터라넷(416)의 게이트웨이(417)를 통해 공중 또는 캐리어 무선 네트워크(414)로부터 접근가능한 것으로 보여진다. 인트라넷(415)을 통한 사설 네트워크(416)에 대한 접근은 방화벽들(423 및 424)에 의해 인증되지 않은 클라이언트들로부터 더 보호된다.Once a network tunnel is established between the
도 4는 또한 온-캠퍼스 무선 네트워크를 통해 기업 사설 네트워크(416)에 접근하는 기업의 전제 상에서 최종 유저 클라이언트 디바이스(420)를 보여준다. 상기 온-캠퍼스 무선 네트워크는 무선 안테나(419)를 포함하는데, 무선 안테나(419)를 통해 클라이언트 디바이스(420)는 무선 게이트웨이(421)에 연결된다. 무선 게이트웨이(421)는 그 결과 기업 인증(AAA) 서버(422) 및 기업 사설 네트워크(416)에 연결된다. 기업 인증 서버(422)는 도 5-7을 참조하여 이하에서 기술되는 바와 같이 클라이언트 디바이스(420)의 인증 및 허가를 처리한다.4 also shows an end
이제 도 5를 참조하면, 도 5는 본 발명의 실시예들에 따라 사설 네트워크에 클라이언트가 접근하는 프로세스를 도시하는데, 여기서 상기 클라이언트 인증은 공중 무선 네트워크의 인증 서버 및 게이트웨이에 의해 프록시된다. 클라이언트 디바이스(510)는 공중 네트워크(514)의 무선 게이트웨이(512)를 통해 공중 무선 네트워크(514)에 접근한다. 클라이언트(510)는 상기 공중 네트워크의 인증(AAA) 서버(513)에 의해 인증받은 후, 무선 링크(511)를 통해 게이트웨이(512)에 연결된다. 전형적으로, 최종 유저 크리덴셜들이 무선 게이트웨이(512)에 의해 클라이언트 디바이스(510)로부터 요청된다. 그런 다음, 게이트웨이(512)는 상기 유저가 공중 무선 네트워크(514)를 사용하도록 허가받는지를 리턴되는 크리덴셜들로부터 검증한다. 유저를 검증하는 한 가지 방법은 인증(AAA) 서버(513)로 클라이언트 크리덴셜들을 전달하는 것이다. 상기 유저가 인증 서버(513)에 의해 인증 및 허가받는 경우, 제1 네트워크 터널(525)이 유저 디바이스(510)에서 무선 게이트웨이(512)로 수립된다.Referring now to FIG. 5, FIG. 5 illustrates a process by which a client accesses a private network in accordance with embodiments of the present invention, where the client authentication is proxied by an authentication server and gateway in a public wireless network.
도 5는 인터넷(515) 및 사설 네트워크 게이트웨이(517)를 통해 공중 네트워크(514)에 연결된 기업의 사설 네트워크(516)를 더 보여준다. 이와는 다르게, 사설 네트워크(516)는 임대된 전화선 또는 광섬유 링크와 같은 통신 채널들의 기타 유형들을 통해 공정 네트워크(514)에 연결될 수 있다.5 further shows an enterprise's
제1 네트워크 터널(525)이 수립된 경우, 인증 서버(513)는 사설 네트워크(516)로의 접근을 위해 클라이언트 디바이스(510)를 인증하도록 기업 사설 네트워크(516)와 연관된 인증 서버(522)에 대한 요청을 프록시한다. 본 발명의 실시예들에서, 클라이언트 디바이스(510)는 이하에서 기술되는 확장가능 인증 프로토콜(Extensible Authentication Protocol, EAP)와 같은 챌린지-응답 프로토콜을 사용하여 인증된다. 클라이언트 디바이스(510)가 인증 서버(522)에 의해 인증 및 허가 받은 후, 사설 네트워크(516)에 대해 디바이스(510)가 보안적으로 접근할 수 있도록 클라이언트 디바이스(510)와 사설 네트워크 게이트웨이(517) 사이에 제2 네트워크 터널(526)이 수립된다. 인증 서버(522)에 의한 클라이언트 디바이스(510)의 인증 및 제2 네트워크 터널(526)의 수립은 도 6-7을 참조하여 기술된다.
When the
EAPEAP 인증 certification
본 발명의 실시예들에서, 무선 네트워크에 대한 클라이언트 인증은 확장가능 인증 프로토콜(EAP)의 구현에 기초한다. EAP는 무선 네트워크들 및 점대점 연결들에서 흔히 사용되는 인증 프레임워크이다. 상기 EAP 프레임워크는 무선 네트워크들로 제한되는 것은 아니고 또한 유선 LAN 인증을 위해 사용될 수도 있지만, 무선 환경에서 더 일반적이다. 상기 EAP 프레임워크는 포트 기반 인증을 제공하는데, 이 포트 기반 인증은 서플리컨트(supplicant, 클라이언트), 인증자(authenticator), 및 인증 서버 사이의 통신들과 관련된다. 상기 서플리컨트는 흔히 랩탑과 같은 클라이언트 디바이스 상의 소프트웨어이고, 인증자는 유선 또는 무선 접근점이고, 상기 인증 서버는 전형적으로 상기 EAP 구현을 지원하는 호스트 실행 소프트웨어이다.In embodiments of the present invention, client authentication for a wireless network is based on the implementation of Extensible Authentication Protocol (EAP). EAP is an authentication framework commonly used in wireless networks and point-to-point connections. The EAP framework is not limited to wireless networks and may also be used for wired LAN authentication, but is more common in wireless environments. The EAP framework provides port based authentication, which relates to communications between the supplicant (client), authenticator, and authentication server. The supplicant is often software on a client device such as a laptop, the authenticator is a wired or wireless access point, and the authentication server is typically host execution software that supports the EAP implementation.
상기 인증자는 보호받는 네트워크에 대한 보안 가드(security guard)와 같이 작용한다. 상기 서플리컨트의 아이덴티티가 검증받고 인증될 때까지, 상기 서플리컨트(클라이언트 디바이스)는 상기 네트워크의 보호받는 측으로 상기 인증자를 통한 접근을 허용받지 않는다. 어떤 인증에서는, 상기 서플리컨트는 유저 이름/패스워드 또는 전자 인증서(digital certificate)와 같은 크리덴셜들을 상기 인증자에게 제공하고, 상기 인증자는 검증을 위해 상기 인증 서버로 상기 크리덴셜들을 전달한다. 만약 상기 크리덴셜들이 상기 인증 서버의 데이터베이스에 유효한 것으로 검증된다면, 상기 서플리컨트(클라이언트 디바이스)는 상기 네트워크의 보호받는 측 상에 위치하는 리소스들에 접근하도록 허용받는다.The authenticator acts as a security guard for the protected network. Until the identity of the supplicant is verified and authenticated, the supplicant (client device) is not allowed access through the authenticator to the protected side of the network. In some authentications, the supplicant provides credentials to the authenticator, such as a username / password or a digital certificate, and the authenticator passes the credentials to the authentication server for verification. If the credentials are verified to be valid for the authentication server's database, the supplicant (client device) is allowed to access resources located on the protected side of the network.
전형적인 인증 프로세스는 다음의 단계들로 구성된다.A typical authentication process consists of the following steps.
- 초기화: 새로운 클라이언트(서플리컨트)의 탐지시, 상기 인증자에 관한 포트는 인에이블되고 "비인증(unauthorized)" 상태로 세트된다.
Initialization: Upon detection of a new client (suppliant), the port for the authenticator is enabled and set to the "unauthorized" state.
- 개시(Initiation): 상기 인증을 개시하기 위해, 상기 인증자는 주기적으로 EAP-요청 아이덴티티 프레임을 지정된 주소로 전송한다. 상기 서플리컨트는 이 주소에 관해 듣고(listen), 상기 EAP-요청 아이덴티티 프레임의 수신시, 그것은 서플리컨트 확인자(identifier)를 포함하는 EAP-응답 아이덴티티 프레임에 응답한다. 그런 다음, 상기 인증자는 이 아이덴티티 응답을 밀봉하고 그것을 상기 인증 서버 상으로 전달한다. 상기 서플리컨트는 또한 EAPOL-시작 프레임을 상기 인증자에게 전송함에 의해 인증을 개시 또는 재시작할 수 있다.
Initiation: To initiate the authentication, the authenticator periodically sends an EAP-Request Identity frame to the specified address. The supplicant listens for this address and upon receipt of the EAP-request identity frame, it responds to an EAP-response identity frame containing a supplicant identifier. The authenticator then seals this identity response and forwards it onto the authentication server. The supplicant may also initiate or restart authentication by sending an EAPOL-start frame to the authenticator.
- 협상(Negotiation): 상기 인증 서버는 상기 인증자에게 응답을 전송하는데, 이 응답은 상기 서플리컨트가 수행하기를 원하는 EAP 방법을 명시하는 EAP 요청을 포함한다. 상기 인증자는 EAPOL 프레임에 상기 EAP 요청을 밀봉하고 그것을 상기 서플리컨트에게 전송한다. 상기 서플리컨트는 그것이 기꺼이 수행하는 다른 EAP 방법에 응답하거나, 상기 요청된 EAP 방법을 시작할 수 있다.
Negotiation: The authentication server sends a response to the authenticator, which includes an EAP request specifying the EAP method that the supplicant wants to perform. The authenticator seals the EAP request in an EAPOL frame and sends it to the supplicant. The supplicant may respond to another EAP method it is willing to perform, or may initiate the requested EAP method.
- 인증: 만약 상기 인증 서버 및 서플리컨트가 EAP 방법에 동의하면, EAP 요청들 및 응답들은 상기 인증 서버가 EAP-성공 메시지 또는 EAP-실패 메시지 중 어느 하나에 응답할 때까지 상기 서플리컨트와 상기 인증 서버 사이에 전송된다(상기 인증자에 의해 해석(translate)됨). 만약 인증이 성공적이면, 상기 인증자는 상기 포트를 "인증(authorized)" 상태로 세트하고 정상적인 트래픽(normal traffic)이 허용된다.Authentication: If the authentication server and supplicant agree to the EAP method, EAP requests and responses are communicated with the supplicant until the authentication server responds to either an EAP-success message or an EAP-failure message. Sent between the authentication servers (translated by the authenticator). If authentication is successful, the authenticator sets the port to an "authorized" state and normal traffic is allowed.
본 발명의 실시예에서, 상기 EAP-트랜스포트층 보안(EAP-Transport Layer Security, EAP-TLS) 프로토콜은 무선 클라이언트 디바이스를 인증하기 위해 사용된다. 상기 EAP-TLS는 인증 서버로 보안 통신을 위한 강한 보안(strong security)을 제공하고, 상기 인증에서 클라이언트 측 인증서를 사용하며, 대부분의 클라이언트 운영 체제들에 의해 지원된다.In an embodiment of the invention, the EAP-Transport Layer Security (EAP-TLS) protocol is used to authenticate a wireless client device. The EAP-TLS provides strong security for secure communication with an authentication server, uses client-side certificates in the authentication, and is supported by most client operating systems.
EAP-TLS 인증 동안, 상기 네트워크 클라이언트는 상기 서버의 TLS 서명을 확인(validate)함에 의해 초기에 상기 인증 서버의 아이덴티티를 검증한다. 그런 다음, 상기 클라이언트 및 서버는 상기 EAP 인증의 그 다음 단계를 보호하기 위한 대칭 키(symmetric key)를 유도할 것인데, 여기서 상기 클라이언트의 아이덴티티는 상기 서버에 의해 확인된다. 상기 인증 서버는 EAP-요청/아이덴티티 패킷을 상기 클라이언트로 전송하고, 상기 클라이언트는 상기 클라이언트의 유저-ID를 포함하는 인증자에게 EAP-응답/아이덴티티 패킷에 응답한다. 상기 클라이언트의 아이덴티티가 수신되는 경우, 상기 EAP 서버는 EAP-TLS/시작 패킷에 응답한다.During EAP-TLS authentication, the network client initially verifies the identity of the authentication server by validating the server's TLS signature. The client and server will then derive a symmetric key to protect the next step of the EAP authentication, where the identity of the client is verified by the server. The authentication server sends an EAP-Request / Identity Packet to the client, and the Client responds to the EAP-Response / Identity Packet to the authenticator that includes the Client-ID of the Client. If the identity of the client is received, the EAP server responds to an EAP-TLS / start packet.
그런 다음, 상기 EAP-TLS 대화가 시작될 것인데, 여기서 상기 클라이언트는 EAP-응답 패킷을 송신한다. 그런 다음, 상기 EAP 서버는 EAP-요청 패킷에 응답한다. 상기 EAP-요청 패킷은 핸드쉐이크(handshake), TLS 인증서, 서버_키_교환 및 인증서_요청 메시지들을 포함한다. 이 정보는 상기 EAP-요청 패킷에 캡슐화된다. 상기 인증서 메시지는 키 교환 공중 키(예를 들어, RSA 또는 Diffie-Hellman 키 교환 공중 키) 또는 서명 공중 키(예를 들어, RSA 또는 디지털 서명 표준 서명 공중 키)를 위해 공중 키 서명 체인을 포함한다.Then, the EAP-TLS conversation will begin, where the client sends an EAP-response packet. The EAP server then responds to an EAP-Request packet. The EAP-Request packet includes a handshake, TLS certificate, server_key_exchange, and certificate_request messages. This information is encapsulated in the EAP-Request packet. The certificate message includes a public key signature chain for a key exchange public key (eg RSA or Diffie-Hellman key exchange public key) or a signing public key (eg RSA or digital signature standard signature public key). .
상기 서버가 공중 키를 통해 상기 피어(peer)가 그 자신을 인증하기를 원할 경우 인증서_요청 메시지가 포함된다. 만약 상기 피어가 EAP-TLS를 지원하고 그것을 사용하도록 구성된다면, 그것은 EAP-Type=EAP-TLS의 EAP-응답 패킷을 갖는 상기 EAP-요청에 응답한다. 상기 피어는 상기 피어의 서명 공중 키를 위해 인증서를 포함하고, 상기 피어의 서명된 인증은 상기 EAP 서버에 응답한다. 이 패킷을 수신한 후, 상기 EAP 서버는, 만약 요청받는 경우, 상기 피어의 인증서 및 디지털 서명을 검증할 것이다.A certificate_request message is included if the server wants the peer to authenticate itself via a public key. If the peer supports and uses EAP-TLS, it responds to the EAP-Request with an EAP-Response Packet of EAP-Type = EAP-TLS. The peer includes a certificate for the peer's signing public key, and the peer's signed certificate responds to the EAP server. After receiving this packet, the EAP server will verify the peer's certificate and digital signature, if requested.
만약 상기 피어의 인증이 성공적이지 않다면, 상기 EAP 서버는 EAP-Type=EAP-TLS를 갖는 EAP-request 패킷을 전송하는데, 이는 적절한 TLS 경고 메시지를 포함하는 TLS 레코드를 캡슐화하고 있다. 만약 상기 피어가 성공적으로 인증한다면, 상기 EAP 서버는 EAP-Type=EAP-TLS를 갖는 EAP-request 패킷에 응답하는데, 이는 종료된 핸드쉐이크 메시지들을 포함한다. 그런 다음, 상기 피어는 EAP-Type=EAP-TLS의 EAP-response을 전송함에 의해 상기 종료된 메시지를 검증하고, 아무런 데이터도 없다. 상기 EAP 서버는 상기 인증 프로세스를 종료하기 위해 EAP-성공 메시지에 응답한다.
If the peer's authentication is not successful, the EAP server sends an EAP-request packet with EAP-Type = EAP-TLS, which encapsulates the TLS record containing the appropriate TLS alert message. If the peer successfully authenticates, the EAP server responds with an EAP-request packet with EAP-Type = EAP-TLS, which includes the terminated handshake messages. The peer then verifies the terminated message by sending an EAP-response of EAP-Type = EAP-TLS, and has no data. The EAP server responds to an EAP-Success message to terminate the authentication process.
(TLS 시작)<-EAP-Request / EAP-Type = EAP-TLS
(Start TLS)
(TLS server_hello, TLS 인증서, [TLS 서버_키_교환,], TLS 인증서_요청, TLS servo_hello_done)<-EAP-Request / EAP-Type = EAP-TLS
(TLS server_hello, TLS certificate, [TLS server_key_exchange,], TLS certificate_request, TLS servo_hello_done)
(TLS 교환_cipher_spec, TLS 종료)<-EAP-Request / EAP-Type = EAP-TLS
(TLS exchange_cipher_spec, TLS exit)
표 1은 EAP-TLS 상호 인증이 성공적인 경우, 피어(클라이언트 디바이스)와 인증자 사이의 인증 메시지들의 교환의 요약이다.
Table 1 is a summary of the exchange of authentication messages between peer (client device) and authenticator when EAP-TLS mutual authentication is successful.
아이덴티티identity 검증( Verification( IDENTITYIDENTITY VERIFICATIONVERIFICATION ))
상기 TLS 협상의 일부로서, 상기 서버는 상기 피어에게 인증서를 제공하고, 만약 상호 인증이 요청된다면, 상기 피어는 상기 서버로 인증서를 제공한다. 상기 EAP-TLS 피어 명칭(Peer-ID)은 접근 제어 및 어카운팅 목적들을 위해 사용될 아이덴티티를 제공한다. 상기 서버-Id는 상기 EAP 서버의 아이덴티티를 제공한다. 상기 피어-Id와 서버-Id는 함께 상기 공중/개인 키 쌍(pair)을 유도하는 것과 관련된 엔티티들을 식별한다. 상기 EAP-TLS 프로토콜에서, 상기 피어-Id 및 서버-Id는 상기 피어 및 서버 인증서들로부터 결정된다.
As part of the TLS negotiation, the server provides a certificate to the peer, and if mutual authentication is requested, the peer provides a certificate to the server. The EAP-TLS Peer-ID provides an identity to be used for access control and accounting purposes. The server-Id provides an identity of the EAP server. The Peer-Id and Server-Id together identify entities associated with deriving the public / private key pair. In the EAP-TLS protocol, the peer-Id and server-Id are determined from the peer and server certificates.
인증서 확인(Certificate Verification ( CERTIFICATIONCERTIFICATION VALIDATIONVALIDATION ))
상기 EAP-TLS 서버는 전형적으로 인터넷에 연결되고 상기 피어 인증서를 확인하는 것을 지원한다. 상기 EAP-TLS 서버가 중간의 인증서들을 리트리브할 수 없는 경우, 경로 확인(path validaton)을 완료하기 위해 그것은 상기 필요한 중간의 인증서들이 미리 구성될 필요가 있을 것이고, 또는 그것은 상기 TLS 핸드쉐이크의 일부로서 이 정보를 제공하기 위해 상기 EAP-TLS 피어에 의존할 것이다. TLS 세션이 수립된 경우, EAP-TLS 피어 및 서버 구현들은 상기 인증서에 제공된 아이덴티티들이 적절하고 EAP-TLS에 사용하기 위해 허가되는지를 확인한다. 상기 허가 프로세스는 기타 정황 정보(contextual information) 뿐만 아니라 상기 인증서들의 내용들을 이용한다. 허가는 상기 EAP-TLS 피어-Id 및 서버-Id에 기초한다.The EAP-TLS server is typically connected to the Internet and supports verifying the peer certificate. If the EAP-TLS server is unable to retrieve intermediate certificates, it will need to be preconfigured with the necessary intermediate certificates to complete path validaton, or it may be part of the TLS handshake. It will rely on the EAP-TLS peer to provide this information. If a TLS session is established, the EAP-TLS peer and server implementations verify that the identities provided in the certificate are appropriate and authorized for use with EAP-TLS. The authorization process uses the contents of the certificates as well as other contextual information. Authorization is based on the EAP-TLS Peer-Id and Server-Id.
도 6은 본 발명의 측면들에 따른 사설 네트워크에 접근하기 전에 클라이언트 디바이스가 인정되는 예시적인 프로세스의 흐름도이다. 블록 611에서, 먼저 상기 클라이언트 디바이스와 공중 또는 제3자의 캐리어 무선 네트워크 사이에 네트워크 터널이 수립된다. 그런 다음, 블록 612에서 상기 클라이언트 디바이스는 상기 제1 터널을 사용하여 상기 기업의 사설 네트워크의 인증 서버로 인증된다. 상기 클라이언트 디바이스가 상기 사설 네트워크와 연관된 상기 인증 서버에 의해 인증된 경우, 블록 613에서 상기 클라이언트가 상기 사설 네트워크에 보안적으로 접근할 수 있도록 상기 클라이언트 디바이스와 상기 사설 네트워크의 게이트웨이 사이에 제2 네트워크 터널이 셋업된다.6 is a flow diagram of an example process in which a client device is recognized prior to accessing a private network in accordance with aspects of the present invention. At
도 7은 상기 공중 네트워크의 상기 인증 서버에 의해 상기 클라이언트 디바이스를 인증하고 상기 제1 네트워크 터널을 수립(블록 611로부터)하는 예시적인 프로세스의 흐름도이다. 블록 722에서, 상기 클라이언트 디바이스는 상기 공중 또는 캐리어 무선 네트워크의 게이트웨이로 "EAP-시작"을 전송한다. 그런 다음, 블록 712에서 상기 공중 게이트웨이는 상기 클라이언트의 아이덴티티 정보를 요청한다. 블록 713에서, 상기 클라이언트 디바이스는 상기 공중 게이트웨이에 클라이언트 아이덴티티 데이터를 포함하는 "영역(realm)" 메시지로 응답한다. 상기 클라이언트의 아이덴티티가 상기 공중 네트워크 게이트웨이에 의해 검증된 경우, 상기 게이트웨이는 블록 714에 도시된 바와 같이, 상기 공중 게이트웨이에 연결된 인증 서버를 컨택하고 상기 인증 서버에게 상기 클라이언트 디바이스를 인증하고 허가하도록 요청한다. 상기 공중 네트워크의 인증 서버는 블록 715에서 위에서 기술된 바와 같은 EAP 인증과 같은 클라이언트 인증 프로세스를 수행한다. 만약 상기 인증이 성공적이면, 블록 716에서 상기 클라이언트 디바이스와 상기 공중 무선 네트워크의 게이트웨이 사이에 제1 보안 네트워크 터널이 셋업된다.7 is a flow diagram of an example process for authenticating the client device and establishing the first network tunnel (from block 611) by the authentication server of the public network. At block 722, the client device sends an “EAP-Start” to the gateway of the public or carrier wireless network. The public gateway then requests the client's identity information at
도 8은 상기 제1 터널을 사용하여 사설 네트워크로 상기 클라이언트 디바이스를 인증하고(블록 612로부터), 상기 클라이언트와 사설 네트워크 게이트웨이(블록 613으로부터) 사이에 제2 터널을 수립하는 예시적인 프로세스의 흐름도를 보여준다. 제1 네트워크 터널이 상기 클라이언트 디바이스와 상기 공중 게이트웨이 사이에 수립되면, 블록 811에서, 상기 공중 네트워크의 인증 서버는 상기 제1 터널을 통해 상기 사설 네트워크로 클라이언트 인증을 개시하기 위해 상기 사설 네트워크의 인증 서버로 요청을 전송한다. 블록 812에서, 상기 기업 인증 서버는 상기 클라이언트 디바이스의 인증을 시작한다(바람직하게는, EAP 프로세스를 사용하여).8 is a flow diagram of an example process for authenticating the client device to a private network using the first tunnel (from block 612) and establishing a second tunnel between the client and a private network gateway (from block 613). Shows. If a first network tunnel is established between the client device and the public gateway, then at
앞서 기술된 바와 같이, 상기 EAP 인증은 클라이언트 디바이스로부터 클라이언트 보안 크리덴셜들을 위한 요청을 포함하고(블록 813), 상기 클라이언트 디바이스와 상기 사설 인증 서버 사이의 공중/개인 키들의 교환(블록 814))을 포함한다. 상기 크리덴셜들 및 공중/개인 키들에 관한 요청들 및 응답들은 상기 제1 네트워크 터널을 통해 상기 공중 네트워크의 인증 서버 및 게이트웨이에 의해 프록시된다. 블록 815에서, 상기 클라이언트 디바이스가 상기 사설 인증 서버에 의해 성공적으로 인증 및 허가받으면, 블록 816에서, 상기 클라이언트 디바이스와 상기 사설 게이트웨이 사이에 제2 네트워크 터널이 수립된다. 상기 클라이언트 디바이스는 이제 상기 제2 터널을 통해 상기 사설 네트워크로의 보안 접근을 시작한다.As described above, the EAP authentication includes a request for client security credentials from a client device (block 813), and exchanges public / private keys between the client device and the private authentication server (block 814). Include. Requests and responses regarding the credentials and public / private keys are proxied by the authentication server and gateway of the public network via the first network tunnel. At
위에서 기술된 본 발명의 주제는 단지 예시의 목적으로 제공된 것이므로 본 발명을 제한하는 것으로 해석되어서는 아니된다. 상기 기술된 컴포넌트들 및 동작들에 관한 여러가지 변형 및 대체 예들은 이하의 청구항들에서 정의된 본 발명의 사상 및 범위를 벗어나지 않고서 당해 기술 분야에서 숙련된 자들에 의해 구현될 수 있음은 자명하다. 따라서, 본 발명의 범위는 이러한 변형 예들 및 균등 범위의 구조들을 다 포함하도록 가장 넓게 해석되어야 한다. 당해 기술 분야에서 숙련된 자라면 알 수 있는 바와 같이, 여기에 기술되는 시스템들, 방법들, 및 절차들은 프로그램가능 컴퓨터, 컴퓨터 실행가능 소프트웨어, 또는 디지털 회로에서 구현될 수 있다. 상기 소프트웨어는 컴퓨터 판독가능 매체 상에 저장될 수 있다. 예를 들어, 컴퓨터 판독가능 매체는 플로피 디스크, RAM, ROM, 하드 디스크, 착탈식 매체, 플래쉬 메모리, "메모리 스틱", 광학 매체, 자기-광학 매체, CD-ROM 등을 포함할 수 있다.The subject matter of the invention described above is provided for the purpose of illustration only and should not be construed as limiting the invention. It is evident that various modifications and alternatives to the described components and operations can be implemented by those skilled in the art without departing from the spirit and scope of the invention as defined in the claims below. Therefore, the scope of the present invention should be construed broadly to encompass all such modifications and equivalent structures. As will be appreciated by those skilled in the art, the systems, methods, and procedures described herein may be implemented in a programmable computer, computer executable software, or digital circuitry. The software may be stored on a computer readable medium. For example, computer readable media may include floppy disk, RAM, ROM, hard disk, removable media, flash memory, "memory stick", optical media, magneto-optical media, CD-ROM, and the like.
Claims (23)
상기 공중 네트워크에 결합되고 상기 제1 클라이언트 디바이스로의 제1 네트워크 터널을 갖는, 공중 게이트웨이(public gateway);
상기 클라이언트 디바이스를 인증하기 위해 상기 사설 네트워크에 결합된 사설 인증 서버 - 상기 클라이언트 디바이스 인증은 상기 제1 터널을 통해 상기 공중 네트워크의 인증 서버에 의해 프록시(proxy)됨 -; 및
상기 사설 네트워크 및 공중 인증 서버에 결합되고 상기 클라이언트 디바이스로의 제2 네트워크 터널을 갖는, 사설 게이트웨이(private gateway)를 포함하는
네트워크 시스템.A network system in which a client device securely accesses a private network through a public wireless network,
A public gateway coupled to the public network and having a first network tunnel to the first client device;
A private authentication server coupled to the private network for authenticating the client device, wherein the client device authentication is proxied by an authentication server of the public network through the first tunnel; And
A private gateway, coupled to the private network and a public authentication server, having a second network tunnel to the client device;
Network system.
네트워크 시스템.The method of claim 1, wherein the first and second tunnels are established using a challenge-response authentication protocol.
Network system.
네트워크 시스템.The method of claim 1, wherein the first and second tunnels are established using Extensible Authentication Protocol (EAP).
Network system.
네트워크 시스템.4. The method of claim 3, wherein the extensible authentication protocol is an extensible authentication protocol-transport layer security (EAP-TLS) protocol.
Network system.
네트워크 시스템.The system of claim 1, wherein the first and second tunnels are established based on user security credentials associated with the client device.
Network system.
네트워크 시스템.The system of claim 1, wherein data packets associated with authenticating the client device with the private authentication server are encrypted.
Network system.
네트워크 시스템.7. The method of claim 6, wherein the encrypted data packets are sent unchanged by the public gateway to the private authentication server.
Network system.
네트워크 시스템.The method of claim 1, wherein authenticating the client device with the private authentication server includes the exchange of a public-private key pair.
Network system.
네트워크 시스템.The system of claim 1, wherein the public public network is a WiMAX wireless network.
Network system.
네트워크 시스템.The method of claim 1, wherein the first and second tunnels are IPsec tunnels.
Network system.
네트워크 시스템.The method of claim 1, wherein the first and second tunnels allow data to be securely exchanged between the client device and the private network.
Network system.
상기 사설 네트워크에 연결된 상기 공중 무선 네트워크의 게이트웨이로의 제1 터널을 수립하는 단계;
상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하는 단계 - 상기 인증 서버는 상기 사설 네트워크의 게이트웨이에 연결됨 -; 및
상기 클라이언트 디바이스와 상기 사설 네트워크 게이트웨이 사이에 제2 터널을 수립하는 단계를 포함하는
컴퓨터로 구현되는 방법.A method implemented by a computer in which a client device securely accesses a private network over a public wireless network, the method comprising:
Establishing a first tunnel to a gateway of the public wireless network connected to the private network;
Authenticating the client device with an authentication server of the private network using the first tunnel, wherein the authentication server is connected to a gateway of the private network; And
Establishing a second tunnel between the client device and the private network gateway.
Computer-implemented method.
컴퓨터로 구현되는 방법.The system of claim 12, wherein the first and second tunnels are established using a challenge-response authentication protocol.
Computer-implemented method.
컴퓨터로 구현되는 방법.The system of claim 12, wherein the first and second tunnels are established using Extensible Authentication Protocol (EAP).
Computer-implemented method.
컴퓨터로 구현되는 방법.15. The method of claim 14, wherein the scalable authentication protocol is an Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) protocol.
Computer-implemented method.
컴퓨터로 구현되는 방법.The system of claim 12, wherein the first and second tunnels are based on user security credentials associated with the client device.
Computer-implemented method.
컴퓨터로 구현되는 방법.The apparatus of claim 12, wherein data packets associated with authenticating the client device with the private authentication server are encrypted.
Computer-implemented method.
컴퓨터로 구현되는 방법.18. The method of claim 17, wherein the encrypted data packets are sent unchanged by the public network gateway to the private authentication server.
Computer-implemented method.
컴퓨터로 구현되는 방법.The method of claim 12, wherein authenticating the client device with the private authentication server includes the exchange of a public-private key pair.
Computer-implemented method.
컴퓨터로 구현되는 방법.The system of claim 12, wherein the public network is a WiMAX wireless network.
Computer-implemented method.
컴퓨터로 구현되는 방법.The system of claim 12, wherein the first and second tunnels are IPsec tunnels.
Computer-implemented method.
컴퓨터로 구현되는 방법.The system of claim 12, wherein the first and second tunnels allow data to be securely exchanged between the client device and the private network.
Computer-implemented method.
상기 공중 네트워크에 연결된 상기 공중 무선 네트워크의 게이트웨이로의 제1 터널을 수립하고;
상기 제1 터널을 사용하여 상기 사설 네트워크의 인증 서버로 상기 클라이언트 디바이스를 인증하고 - 상기 인증 서버는 상기 사설 네트워크의 게이트웨이에 연결됨 -; 및
상기 클라이언트 디바이스와 상기 사설 네트워크 게이트웨이 사이에 제2 터널을 수립하도록 동작하는
컴퓨터 프로그램 제품.A program product to a computer in which a client device securely accesses a private network via a public wireless network, the product comprising a computer usable storage medium, the computer usable storage medium being a readable program embodied in the storage medium. Code, the program code,
Establish a first tunnel to a gateway of the public wireless network connected to the public network;
Authenticate the client device with an authentication server of the private network using the first tunnel, wherein the authentication server is connected to a gateway of the private network; And
Operative to establish a second tunnel between the client device and the private network gateway.
Computer program products.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/757,199 US8601569B2 (en) | 2010-04-09 | 2010-04-09 | Secure access to a private network through a public wireless network |
US12/757,199 | 2010-04-09 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20110113565A true KR20110113565A (en) | 2011-10-17 |
Family
ID=44746564
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110029302A KR20110113565A (en) | 2010-04-09 | 2011-03-31 | Secure access to a private network through a public wireless network |
Country Status (3)
Country | Link |
---|---|
US (1) | US8601569B2 (en) |
KR (1) | KR20110113565A (en) |
CN (1) | CN102215487B (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170063795A (en) * | 2014-10-06 | 2017-06-08 | 크리프트존 노스 아메리카, 아이엔씨. | Systems and methods for protecting network devices |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8509440B2 (en) * | 2007-08-24 | 2013-08-13 | Futurwei Technologies, Inc. | PANA for roaming Wi-Fi access in fixed network architectures |
US8452957B2 (en) * | 2010-04-27 | 2013-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for providing secure access to cloud computing for mobile users |
US9270653B2 (en) * | 2011-05-11 | 2016-02-23 | At&T Mobility Ii Llc | Carrier network security interface for fielded devices |
US10277630B2 (en) * | 2011-06-03 | 2019-04-30 | The Boeing Company | MobileNet |
US9529996B2 (en) * | 2011-10-11 | 2016-12-27 | Citrix Systems, Inc. | Controlling mobile device access to enterprise resources |
CN102497354A (en) * | 2011-11-08 | 2012-06-13 | 陈嘉贤 | Method, system and device for identifying user's identity |
EP2634993B1 (en) | 2012-03-01 | 2017-01-11 | Certicom Corp. | Devices and methods for connecting client devices to a network |
US20130283050A1 (en) * | 2012-04-23 | 2013-10-24 | Anil Gupta | Wireless client authentication and assignment |
US8978093B1 (en) * | 2012-05-03 | 2015-03-10 | Google Inc. | Policy based trust of proxies |
US10110417B1 (en) | 2012-07-06 | 2018-10-23 | Cradlepoint, Inc. | Private networks overlaid on cloud infrastructure |
US10601653B2 (en) * | 2012-07-06 | 2020-03-24 | Cradlepoint, Inc. | Implicit traffic engineering |
US10177957B1 (en) | 2012-07-06 | 2019-01-08 | Cradlepoint, Inc. | Connecting a cloud network to the internet |
US10135677B1 (en) | 2012-07-06 | 2018-11-20 | Cradlepoint, Inc. | Deployment of network-related features over cloud network |
US9992062B1 (en) * | 2012-07-06 | 2018-06-05 | Cradlepoint, Inc. | Implicit traffic engineering |
US10880162B1 (en) | 2012-07-06 | 2020-12-29 | Cradlepoint, Inc. | Linking logical broadcast domains |
US10560343B1 (en) | 2012-07-06 | 2020-02-11 | Cradlepoint, Inc. | People centric management of cloud networks via GUI |
WO2014030199A1 (en) * | 2012-08-20 | 2014-02-27 | 富士通株式会社 | Seamless application push system and method for same |
JP5854148B2 (en) * | 2012-08-20 | 2016-02-09 | 富士通株式会社 | Seamless push system and method |
TW201417535A (en) * | 2012-10-31 | 2014-05-01 | Ibm | Network access control based on risk factor |
DE102013206661A1 (en) * | 2013-04-15 | 2014-10-16 | Robert Bosch Gmbh | Communication method for transmitting user data and corresponding communication system |
US9411978B2 (en) | 2013-07-11 | 2016-08-09 | Open Text S.A. | System and method for access control using network verification |
US9226153B2 (en) * | 2013-08-23 | 2015-12-29 | Cisco Technology, Inc. | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
EP3228059B1 (en) * | 2014-12-04 | 2018-05-23 | Telefonaktiebolaget LM Ericsson (publ) | Secure connections establishment |
US20160366124A1 (en) * | 2015-06-15 | 2016-12-15 | Qualcomm Incorporated | Configuration and authentication of wireless devices |
US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
CN106875515B (en) * | 2015-12-11 | 2019-10-29 | 中国移动通信集团辽宁有限公司 | Gate inhibition verifies system and its gate inhibition's verification method |
US10178512B2 (en) | 2015-12-18 | 2019-01-08 | At&T Intellectual Property I, L.P. | Information broadcast |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
BR112019014670A2 (en) * | 2017-01-27 | 2020-05-26 | Ericsson Telefon Ab L M | secondary authentication of user equipment |
CN107231426A (en) * | 2017-06-15 | 2017-10-03 | 郑州云海信息技术有限公司 | A kind of multiple data centers access method, proxy server and system |
EP4297379A3 (en) * | 2018-07-17 | 2024-01-10 | ICU Medical, Inc. | Systems and methods for facilitating clinical messaging in a network environment |
WO2020068874A1 (en) * | 2018-09-24 | 2020-04-02 | Andrew Robinson | Content server for providing application unification for public network applications |
JP7273523B2 (en) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | Communication control device and communication control system |
TWI706281B (en) * | 2019-02-19 | 2020-10-01 | 華東科技股份有限公司 | Device verification method |
WO2019179543A2 (en) | 2019-03-27 | 2019-09-26 | Alibaba Group Holding Limited | Retrieving public data for blockchain networks using trusted execution environments |
CA3058236C (en) | 2019-03-27 | 2020-08-25 | Alibaba Group Holding Limited | Retrieving public data for blockchain networks using highly available trusted execution environments |
CN110999255B (en) | 2019-03-29 | 2021-12-21 | 创新先进技术有限公司 | Method and device for retrieving access data of block chain network |
WO2020223319A1 (en) | 2019-05-01 | 2020-11-05 | Nix John A | Distributed eap-tls authentication for wireless networks with concealed subscriber identities |
EP4044642A4 (en) * | 2019-11-06 | 2022-10-19 | Huawei Technologies Co., Ltd. | Communication method, communication device, and communication system |
CN113498055B (en) * | 2020-03-20 | 2022-08-26 | 维沃移动通信有限公司 | Access control method and communication equipment |
US11882110B2 (en) * | 2020-04-29 | 2024-01-23 | Hewlett Packard Enterprise Development Lp | Renewal of security certificates of supplicants |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6571289B1 (en) | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
US7117526B1 (en) | 1999-10-22 | 2006-10-03 | Nomadix, Inc. | Method and apparatus for establishing dynamic tunnel access sessions in a communication network |
US7181542B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Method and system for managing and configuring virtual private networks |
US7159242B2 (en) | 2002-05-09 | 2007-01-02 | International Business Machines Corporation | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT |
JP4056849B2 (en) * | 2002-08-09 | 2008-03-05 | 富士通株式会社 | Virtual closed network system |
US7391748B2 (en) * | 2002-10-15 | 2008-06-24 | Cisco Technology, Inc. | Configuration of enterprise gateways |
US7779152B2 (en) | 2003-01-24 | 2010-08-17 | Nokia Corporation | Establishing communication tunnels |
US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
US7478427B2 (en) | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
JP4107213B2 (en) * | 2003-10-06 | 2008-06-25 | 松下電工株式会社 | Packet judgment device |
US7716724B2 (en) * | 2005-06-16 | 2010-05-11 | Verizon Business Global Llc | Extensible authentication protocol (EAP) state server |
US20080022392A1 (en) | 2006-07-05 | 2008-01-24 | Cisco Technology, Inc. | Resolution of attribute overlap on authentication, authorization, and accounting servers |
US7707623B2 (en) * | 2006-10-24 | 2010-04-27 | Avatier Corporation | Self-service resource provisioning having collaborative compliance enforcement |
-
2010
- 2010-04-09 US US12/757,199 patent/US8601569B2/en not_active Expired - Fee Related
-
2011
- 2011-03-30 CN CN201110078663.1A patent/CN102215487B/en not_active Expired - Fee Related
- 2011-03-31 KR KR1020110029302A patent/KR20110113565A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170063795A (en) * | 2014-10-06 | 2017-06-08 | 크리프트존 노스 아메리카, 아이엔씨. | Systems and methods for protecting network devices |
Also Published As
Publication number | Publication date |
---|---|
US20110252230A1 (en) | 2011-10-13 |
US8601569B2 (en) | 2013-12-03 |
CN102215487B (en) | 2014-10-15 |
CN102215487A (en) | 2011-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8601569B2 (en) | Secure access to a private network through a public wireless network | |
EP3410758B1 (en) | Wireless network connecting method and apparatus, and storage medium | |
US9015473B2 (en) | Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals | |
US20060259759A1 (en) | Method and apparatus for securely extending a protected network through secure intermediation of AAA information | |
KR101009330B1 (en) | Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network | |
US8635444B2 (en) | System and method for distributing keys in a wireless network | |
EP2025088B1 (en) | Provision of secure communiucations connection using third party authentication | |
US20090063851A1 (en) | Establishing communications | |
US20100161958A1 (en) | Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device | |
Cheikhrouhou et al. | An EAP-EHash authentication method adapted to resource constrained terminals | |
Pandey et al. | A system and method for authentication in wireless local area networks (wlans) | |
Niemiec et al. | Authentication in virtual private networks based on quantum key distribution methods | |
WO2014117524A1 (en) | Method and system for transmitting pairwise master key in wlan access network | |
Sithirasenan et al. | An EAP framework for unified authentication in wireless networks | |
Eronen et al. | An Extension for EAP-Only Authentication in IKEv2 | |
Sithirasenan et al. | EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability | |
US20240114338A1 (en) | Systems and methods for authentication of non-3gpp devices behind a residential gateway | |
Robyns | Wireless network privacy | |
Elahi et al. | Network Security | |
Dejamfar | Enhancing Efficiency of EAP-TTLS Protocol Through the Simultaneous Use of Encryption and Digital Signature Algorithms | |
Ntantogian et al. | A security protocol for mutual authentication and mobile VPN deployment in B3G networks | |
Eronen et al. | RFC 5998: An Extension for EAP-Only Authentication in IKEv2 | |
Lee et al. | Performance of an efficient performing authentication to obtain access to public wireless LAN with a cache table | |
Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 4 | |
Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |